AI Act obligations PME France 2026 : ce que votre entreprise doit faire

Mis à jour : 21/04/2026 Par Rédaction

AI Act 2026 : obligations applicables aux PME françaises

Calendrier des obligations AI Act pour les PME :

DateObligationConcerne les PME ?
Fév 2025Interdictions IA inacceptable🔴 Oui (toutes)
Août 2025Modèles IA à usage général (GPAI)🟠 Si développeur de LLM
Août 2026IA haut risque (annexe III)🟠 Si déployeur haut risque
Août 2027IA haut risque (systèmes existants)🟡 Selon système

Le règlement européen sur l'intelligence artificielle (AI Act — règlement EU 2024/1689) est entré progressivement en vigueur depuis août 2024. Pour les PME françaises, 2026 est une année charnière : les premières obligations majeures sont déjà en vigueur, et d'autres entrent en application d'ici août 2026.

La bonne nouvelle : la grande majorité des PME françaises n'utilisent pas de systèmes d'IA classés à haut risque. Les obligations qui les concernent sont principalement des obligations de transparence et quelques démarches de documentation. Ce guide détaille ce qui s'applique concrètement à votre entreprise.

1. Les systèmes d'IA interdits (depuis février 2025)

Certaines pratiques d'IA sont totalement interdites dans l'UE depuis le 2 février 2025. Vérifiez que vos outils n'en font pas partie :

  • Manipulation comportementale sublimale : systèmes exploitant des techniques subliminales pour influencer les comportements au détriment des personnes
  • Exploitation des vulnérabilités : IA ciblant des groupes vulnérables (enfants, personnes âgées) pour manipuler leurs décisions
  • Notation sociale (social scoring) : évaluation des personnes selon leur comportement social pour leur accorder ou refuser des droits civils
  • Reconnaissance biométrique en temps réel dans l'espace public : hors exceptions strictement définies (sécurité nationale, recherche de personnes disparues)
  • Catégorisation biométrique selon l'origine ethnique, les opinions politiques, ou la religion
  • Prédiction de comportement criminel basée sur des caractéristiques personnelles

Pour une PME standard, ces interdictions sont rarement problématiques. Si vous utilisez un outil de scoring client, de recrutement automatisé ou de surveillance des employés, vérifiez néanmoins qu'il n'entre pas dans ces catégories.

2. Classification de votre système d'IA : les 4 niveaux

L'AI Act classe les systèmes d'IA en niveaux de risque croissants. Identifier le niveau applicable à vos usages est la première étape de la conformité :

Risque minimal (la majorité des PME)

Filtres anti-spam, IA dans les jeux vidéo, chatbots simples ne prenant pas de décisions impactantes, outils de suggestion de texte. Aucune obligation spécifique — vous pouvez adopter un code de conduite volontaire.

Risque limité

Chatbots conversationnels et assistants virtuels interagissant avec des humains ; systèmes générant des deepfakes ou contenu synthétique. Obligation de transparence : informer l'utilisateur qu'il interagit avec une IA, mentionner que le contenu est généré par IA.

Haut risque (annexe III)

IA utilisée dans le recrutement et la gestion RH, la notation de crédit, l'évaluation de la solvabilité, les décisions d'assurance, l'accès aux services publics, la santé, l'éducation, les infrastructures critiques, et la justice. Obligations lourdes : enregistrement dans la base de données EU, documentation technique, évaluation de conformité, marquage CE.

Risque inacceptable

Cf. section précédente — interdit.

3. Obligations concrètes pour une PME en 2026

Si vous utilisez uniquement des outils IA généraux (ChatGPT, Copilot, etc.)

Vos obligations sont minimes :

  • Informer vos clients ou utilisateurs lorsque vous leur fournissez du contenu généré par IA (emails marketing, fiches produits, articles de blog)
  • Ne pas passer sous silence qu'un chatbot est un chatbot et non un humain
  • Former vos collaborateurs à un usage éthique de ces outils (bonne pratique, pas encore obligatoire pour les PME)

Si vous déployez une IA dans les RH ou le recrutement

Les outils de tri de CV, de scoring de candidats, d'évaluation de performance ou de décision de licenciement assistés par IA entrent dans la catégorie haut risque. Obligations :

  • Enregistrement du système dans la base EU GPAI
  • Documentation technique (architecture, données d'entraînement, métriques de performance)
  • Évaluation d'impact sur les droits fondamentaux
  • Surveillance humaine des décisions automatisées
  • Droit des salariés à une explication et à un recours humain

Si vous êtes éditeur de logiciel intégrant de l'IA

Les PME qui développent et commercialisent des logiciels utilisant l'IA (SaaS, applications mobiles) ont des obligations plus importantes :

  • Documentation technique complète des systèmes IA intégrés
  • Instructions d'utilisation pour les déployeurs clients
  • Processus de gestion des incidents et signalement à l'autorité compétente (ANSSI en France)
  • Mise à jour continue de la documentation lors des changements significatifs

4. Mesures de simplification pour les PME

L'AI Act prévoit des dispositions spécifiques pour alléger le fardeau des PME et micro-entreprises :

  • Bacs à sable réglementaires : accès prioritaire pour tester des systèmes IA innovants sans risque de sanction pendant la phase de développement. La France met en place son dispositif via l'ANSSI et la CNIL
  • Documentation simplifiée : les PME bénéficient de formulaires et modèles de documentation allégés publiés par la Commission européenne
  • Modulation des amendes : les pénalités tiennent compte de la taille de l'entreprise — un plafond de 1,5 % du CA ou 750 000 € (le moindre des deux) s'applique pour la plupart des violations PME
  • Délais supplémentaires : les systèmes existants déployés avant l'entrée en vigueur de l'AI Act bénéficient de délais de mise en conformité jusqu'en 2027

5. Plan d'action recommandé pour les PME en 2026

Pour une PME française, voici les 5 étapes prioritaires :

  1. Inventorier vos usages IA : listez tous les outils intégrant de l'IA utilisés dans l'entreprise (SaaS, applications internes, outils bureautiques)
  2. Classifier chaque usage selon les 4 niveaux de risque de l'AI Act
  3. Implémenter les obligations de transparence pour les usages de risque limité (mention IA dans les chatbots et contenus générés)
  4. Si haut risque : contacter un prestataire de conformité IA ou l'organisme notifié français pour initier la démarche de documentation
  5. Former vos équipes aux principes de base de l'AI Act (une demi-journée de sensibilisation suffit pour la plupart des PME)

FAQ sur l'AI Act et les PME françaises

L'AI Act s'applique-t-il aux PME françaises en 2026 ?

Oui, mais les obligations varient selon l'usage. La grande majorité des PME n'ont que des obligations de transparence légères. Les obligations lourdes (haut risque) concernent surtout les PME déployant une IA dans le recrutement, le crédit ou la santé.

Quelles obligations sont déjà applicables en 2026 ?

Les interdictions de pratiques inacceptables (depuis fév. 2025) et les obligations de transparence pour les chatbots sont déjà en vigueur. Les obligations pour les systèmes haut risque entrent en application en août 2026.

Comment classifier mon système d'IA ?

4 niveaux : inacceptable (interdit), haut risque (RH, crédit, santé — obligations strictes), risque limité (transparence uniquement), risque minimal (aucune obligation). Voir l'annexe III du règlement pour la liste exhaustive des usages haut risque.

Une PME qui utilise ChatGPT est-elle concernée ?

Oui, mais faiblement : obligation d'informer les clients si du contenu est généré par IA, et de ne pas se faire passer pour un humain via un chatbot. Pas d'obligation de documentation technique.

Quelles sont les sanctions pour non-conformité ?

Amendes modulées selon la taille : plafond à 1,5 % du CA ou 750 K€ pour la plupart des infractions PME. 7 % du CA mondial pour les violations les plus graves (pratiques interdites).

Questions fréquentes